Katalog CVE

CVE-2026-32985

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Xerte Online Toolkits 3.14 i wcześniejsze zawierają podatność na nieautoryzowane przesyłanie plików w funkcjonalności importu szablonów, co pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego archiwum ZIP z złośliwymi ładunkami PHP. Atakujący mogą obejść kontrole autoryzacji w pliku import.php, aby przesłać archiwum szablonu z kodem PHP w katalogu mediów.

Ocena ryzyka

Podatność ta umożliwia atakującym zdalne wykonanie kodu w kontekście serwera WWW, co może prowadzić do przejęcia kontroli nad systemem oraz wycieku danych. Organizacje mogą być narażone na poważne konsekwencje, w tym utratę danych i reputacji.

Rekomendacja

Zaleca się aktualizację Xerte Online Toolkits do wersji 3.15 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć mechanizmy monitorowania i zabezpieczeń, aby zminimalizować ryzyko nieautoryzowanego dostępu.

Oryginalny opis (angielski, źródło NVD)

Xerte Online Toolkits versions 3.14 and earlier contain an unauthenticated arbitrary file upload vulnerability in the template import functionality that allows remote attackers to execute arbitrary code by uploading a crafted ZIP archive containing malicious PHP payloads. Attackers can bypass authentication checks in the import.php file to upload a template archive with PHP code in the media directory, which gets extracted to a web-accessible path where the malicious PHP can be directly accessed and executed under the web server context.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS